信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序

有限公司兩化整合管理體系文件（III）第5頁(yè)共13頁(yè)題目：信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序編號(hào)GM-III-B005版本號(hào)00生效日期2015.07.20起草部門信息中心頒發(fā)部門總經(jīng)理辦公室一、目的：通過(guò)風(fēng)險(xiǎn)評(píng)估，采取有效措施，降低威脅事件發(fā)生的可能性，或者減少威脅事件造成的影響，從而將風(fēng)險(xiǎn)消減到可接受的水平。二、范圍：適用于對(duì)信息安全管理體系信息安全風(fēng)險(xiǎn)的識(shí)別、評(píng)價(jià)、控制等管理。三、責(zé)任：3.1管理者代表信息中心執(zhí)行信息安全風(fēng)險(xiǎn)的識(shí)別與評(píng)價(jià)；審核并批準(zhǔn)重大信息安全風(fēng)險(xiǎn)，并負(fù)責(zé)編制《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估準(zhǔn)則》，執(zhí)行信息安全風(fēng)險(xiǎn)調(diào)查與評(píng)價(jià)，提出重大信息安全風(fēng)險(xiǎn)報(bào)告。3.2各部門協(xié)助信息中心的調(diào)查，參與討論重大信息安全風(fēng)險(xiǎn)的管理辦法。四、內(nèi)容：4.1資產(chǎn)識(shí)別保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為此，應(yīng)對(duì)組織中的資產(chǎn)進(jìn)行識(shí)別。在一個(gè)組織中，資產(chǎn)有多種表現(xiàn)形式；同樣的兩個(gè)資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同，而且對(duì)于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運(yùn)行的系統(tǒng)數(shù)量可能更多。這時(shí)首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸悾源藶榛A(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。在實(shí)際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評(píng)估對(duì)象和要求，由評(píng)估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。表1列出了一種資產(chǎn)分類方法。表1一種基于表現(xiàn)形式的資產(chǎn)分類方法類別簡(jiǎn)稱解釋/示例數(shù)據(jù)Data存在電子媒介的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)，各種數(shù)據(jù)資料、系統(tǒng)文檔、運(yùn)行管理過(guò)程、計(jì)劃、報(bào)告、用戶手冊(cè)等。軟件Software應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和資源庫(kù)等。服務(wù)Service軟件維護(hù)等硬件Hardware計(jì)算機(jī)硬件、路由器，交換機(jī)。硬件防火墻。程控交換機(jī)、布線、備份存儲(chǔ)文檔Document紙質(zhì)的各種文件、傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃。設(shè)備Facility電源、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等人員HR各級(jí)人員和雇主、合同方雇員其它Ot

er企業(yè)形象、客戶關(guān)系等4.2信息類別4.2.1信息分類的重要度分為5類:國(guó)家秘密事項(xiàng)、企業(yè)秘密事項(xiàng)、敏感信息事項(xiàng)、一般事項(xiàng)和公開事項(xiàng)。4.2.2信息分類定義：a)“國(guó)家秘密事項(xiàng)”：《中華人民共和國(guó)保守國(guó)家秘密法》中指定的秘密事；b)“企業(yè)秘密事項(xiàng)”：不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)本公司的生產(chǎn)經(jīng)營(yíng)造成損害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的商業(yè)秘密事項(xiàng)；c)“敏感信息事項(xiàng)”：為了日常的業(yè)務(wù)能順利進(jìn)行而向公司員工公司開、但不可向公司以外人員隨意公開的內(nèi)部控制事項(xiàng)；d)“一般事項(xiàng)”：秘密事項(xiàng)以外，僅用來(lái)傳遞信息、昭示承諾或?qū)ν庑麄魉婕暗氖马?xiàng)；e)“公開事項(xiàng)”：其他可以完全公開的事項(xiàng)。4.2.3信息分類不適用時(shí)，可不填寫。五、風(fēng)險(xiǎn)評(píng)估實(shí)施:5.1資產(chǎn)賦值5.1.1保密性賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在保密性上應(yīng)達(dá)人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益外部人員利用信息系統(tǒng)的脆弱性，對(duì)網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心或不專注，或者沒(méi)有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊對(duì)威脅進(jìn)行分類的方式有多種，針對(duì)上表的威脅來(lái)源，可以根據(jù)其表現(xiàn)形式將威脅主要分為以下幾類。表8提供了一種基于表現(xiàn)形式的威脅分類方法。表8一種基于表現(xiàn)形式的威脅分類表種類描述威脅子類軟硬件故障對(duì)業(yè)務(wù)實(shí)施或系統(tǒng)運(yùn)行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷等問(wèn)題設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫(kù)軟件故障、開發(fā)環(huán)境故障等物理環(huán)境影響對(duì)信息系統(tǒng)正常運(yùn)行造成影響的物理環(huán)境問(wèn)題和自然災(zāi)害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等無(wú)作為或操作失誤應(yīng)該執(zhí)行而沒(méi)有執(zhí)行相應(yīng)的操作，或無(wú)意執(zhí)行了錯(cuò)誤的操作維護(hù)錯(cuò)誤、操作失誤等管理不到位安全管理無(wú)法落實(shí)或不到位，從而破壞信息系統(tǒng)正常有序運(yùn)行管理制度和策略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全等惡意代碼故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等越權(quán)或?yàn)E用通過(guò)采用一些措施，超越自己的權(quán)限訪問(wèn)了本來(lái)無(wú)權(quán)訪問(wèn)的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、非授權(quán)訪問(wèn)系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過(guò)網(wǎng)絡(luò)對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)、嗅探（帳號(hào)、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的控制和破壞等物理攻擊通過(guò)物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等5.3.2威脅賦值判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷。在評(píng)估中，需要綜合考慮以下三個(gè)方面，以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率：a）以往安全事件報(bào)告中出現(xiàn)過(guò)的威脅及其頻率的統(tǒng)計(jì)；b）實(shí)際環(huán)境中通過(guò)檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；c）近一兩年來(lái)國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警?？梢詫?duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理，不同等級(jí)分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。表9提供了威脅出現(xiàn)頻率的一種賦值方法。在實(shí)際的評(píng)估中，威脅頻率的判斷依據(jù)應(yīng)在評(píng)估準(zhǔn)備階段根據(jù)歷史統(tǒng)計(jì)或行業(yè)判斷予以確定，并得到被評(píng)估方的認(rèn)可。表9威脅賦值表等級(jí)標(biāo)

定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過(guò)4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過(guò)3中等出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過(guò)2低出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒(méi)有被證實(shí)發(fā)生過(guò)1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下發(fā)生5.4脆弱性識(shí)別5.4.1脆弱性識(shí)別內(nèi)容脆弱性是資產(chǎn)本身存在的，如果沒(méi)有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件發(fā)生，并造成損失。即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識(shí)別中最為困難的部分。不正確的、起不到應(yīng)有作用的或沒(méi)有正確實(shí)施的安全措施本身就可能是一個(gè)脆弱性。脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)別可以以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn),識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來(lái)。脆弱性識(shí)別的依據(jù)可以是國(guó)際或國(guó)家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。對(duì)應(yīng)用在不同環(huán)境中的相同的弱點(diǎn)，其脆弱性嚴(yán)重程度是不同的，評(píng)估者應(yīng)從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來(lái)自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。表10脆弱性識(shí)別內(nèi)容表類型識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問(wèn)控制策略、內(nèi)部訪問(wèn)控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問(wèn)控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問(wèn)控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識(shí)別5.4.2脆弱性賦值可以根據(jù)脆弱性對(duì)資產(chǎn)的暴露程度、技術(shù)實(shí)現(xiàn)的難易程度、流行程度等，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。由于很多脆弱性反映的是同一方面的問(wèn)題，或可能造成相似的后果，賦值時(shí)應(yīng)綜合考慮這些脆弱性，以確定這一方面脆弱性的嚴(yán)重程度。對(duì)某個(gè)資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度還受到組織管理脆弱性的影響。因此，資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。脆弱性嚴(yán)重程度可以進(jìn)行等級(jí)化處理，不同的等級(jí)分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。表11提供了脆弱性嚴(yán)重程表11脆弱性嚴(yán)重程度賦值表度的一種賦值方法。等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害3中等如果被威脅利用，將對(duì)資產(chǎn)造成一般損害2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略5.5風(fēng)險(xiǎn)分析5.5.1風(fēng)險(xiǎn)計(jì)算原理在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。以下是給出了風(fēng)險(xiǎn)計(jì)算原理，以下面的范式形式化加以說(shuō)明：風(fēng)險(xiǎn)值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，V))。其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；H表示合規(guī)性；Ia表示安全事件所作用的資產(chǎn)價(jià)值；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：a）計(jì)算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件的可能性=L(威脅出現(xiàn)頻率，脆弱性)＝L(T，V)。即L=T*V在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問(wèn)時(shí)間、設(shè)計(jì)和操作知識(shí)公開程度等）、資產(chǎn)吸引力等因素來(lái)判斷安全事件發(fā)生的可能性。b）計(jì)算安全事件發(fā)生后造成的損失（即影響值）根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后造成的損失，即：安全事件造成的損失=F(資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度)＝F(Ia，V)。即F=la*v。部分安全事件的發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對(duì)組織的影響也是不一樣的。在計(jì)算某個(gè)安全事件的損失時(shí)，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。部分安全事件造成的損失的判斷還應(yīng)參照安全事件發(fā)生可能性的結(jié)果，對(duì)發(fā)生可能性極小的安全事件，如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可以不計(jì)算其損失。c）計(jì)算風(fēng)險(xiǎn)值根據(jù)計(jì)算出的安全事件的可能性以及安全事件造成的損失，計(jì)算風(fēng)險(xiǎn)值，即：風(fēng)險(xiǎn)值=R(安全事件的可能性，安全事件造成的損失)＝R(L(T，V)，F(xiàn)(Ia，V))。本公司規(guī)定采取相乘法進(jìn)行風(fēng)險(xiǎn)值的計(jì)算。R=L*F=Ia*T*V5.5.2風(fēng)險(xiǎn)結(jié)果判定為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理?？蓪L(fēng)險(xiǎn)劃分為五級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越高。風(fēng)險(xiǎn)等級(jí)達(dá)到四級(jí)為不可接受風(fēng)險(xiǎn)，四級(jí)以下為可接受風(fēng)險(xiǎn)，不可接受風(fēng)險(xiǎn)由風(fēng)險(xiǎn)評(píng)估小組制定風(fēng)險(xiǎn)處理計(jì)劃，并由各責(zé)任部門負(fù)責(zé)實(shí)施。表12風(fēng)險(xiǎn)等級(jí)劃分表等級(jí)標(biāo)識(shí)描述5很高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營(yíng)，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響，在一定范圍內(nèi)給組織的經(jīng)營(yíng)和組織信譽(yù)造成損害3中等一旦發(fā)生會(huì)造成一定的經(jīng)濟(jì)、社會(huì)或生產(chǎn)經(jīng)營(yíng)影響，但影響面和影響程度不大2低一旦發(fā)生造成的影響程度較低